Управление разрешениями в состоящих из множества пользователей и ресурсов распределенных вычислительных средах (таких как домены Windows Server 2003) - процесс утомительный и требующий значительного времени. Чтобы облегчить задачу администраторов, разработчики Windows ввели такие объекты как группы. Группы можно использовать для того, чтобы объединять пользователей или компьютеры, обладающие сходными характеристиками. Это позволяет упростить процедуру назначения разрешений на использование ресурсов Windows, например файлов и принтеров.
Но перед тем как рассказать о "золотых правилах" применения групп при назначении разрешений на использование ресурсов, я познакомлю вас с тем, какие бывают типы и диапазоны групп. Речь пойдет только о тех группах, которые можно определять и которыми можно управлять с помощью службы Active Directory (AD) в среде доменов Windows 2003 или Windows 2000.
О том, как изменялись характеристики групп, рассказано во врезке "Эволюция групп в Windows". Я не буду касаться локальных групп, определяемых в базах данных системы безопасности автономных компьютеров, а также на рабочих станциях и автономных серверах домена. Эти локальные группы могут использоваться только на локальных компьютерах для назначения разрешений на обращение к локальным ресурсам. Группы, которые мы будем обсуждать в данной статье, могут быть использованы для назначения разрешений на обращение к ресурсам в масштабе домена, а в отдельных случаях - в масштабе леса доменов.
Типы групп
В средах Windows 2003 и Windows 2000 применяются группы двух типов: группы рассылки (distribution groups) и группы безопасности (security groups). На Экране 1 показано, как выбирается тип группы в процессе создания новой группы в оснастке Active Directory Users and Computers консоли управления Microsoft Management Console (MMC).
Экран 1: Свойства группы в окне оснастки Active Directory Users and Computers
Группы рассылки можно использовать в качестве списков рассылки электронной почты (distribution list, DL) почтовых серверов на базе AD, таких, как Microsoft Exchange Server 2003 и Exchange 2000 Server. Группы рассылки демонстрируют тесную интеграцию между почтовыми серверами Exchange 2000 или более поздних версий и Windows 2000 или системами более поздних версий.
В качестве списков рассылки электронной почты можно использовать и группы безопасности. Но что еще более важно, группы безопасности можно задействовать для выполнения связанных с защитой данных административных задач, таких как назначение разрешений на обращение к ресурсам, потому что идентификатор SID группы безопасности добавляется к маркеру доступа пользователя Windows в ходе процесса аутентификации. SID группы рассылки не добавляется к маркеру доступа пользователя Windows, поэтому группы рассылки нельзя использовать для выполнения административных задач, связанных с защитой данных. Поскольку для назначения разрешений на обращение к ресурсам можно применять только группы безопасности, в дальнейшем я остановлюсь на группах этого типа.
Если домены сети организованы на корректных уровнях функционирования доменов, можно преобразовывать группы рассылки в группы безопасности и обратно на странице свойств группы в оснастке Active Directory Users and Computers. О функциональных уровнях доменов мы поговорим чуть позже. Система Windows предупредит вас о возможных последствиях этих действий с точки зрения авторизации, как показано на Экране 2. Допустим, у вас имеется группа безопасности, обеспечивающая назначение разрешений на обращение к ресурсам. Если вы превратите эту группу безопасности в группу рассылки, члены группы потеряют доступ к соответствующим ресурсам. Для одновременного изменения типа нескольких групп в ходе одной операции можно использовать реализованную в Windows 2003 утилиту командной строки Dsmod с параметром -secgrp [yes/no]. О том, как использовать программу Dsmod, рассказано в статье "Пять незаменимых инструментов для AD" (http://www.osp.ru/win2000/2004/08/177313/).
Экран 2: Предупреждение, отображаемое при преобразовании группы безопасности в группу рассылки
Доступность некоторых функций групп AD зависит от уровня функционирования домена. Функциональные уровни доменов - это система управления версиями, реализованная специалистами Microsoft в Windows 2003. Функциональный уровень домена зависит от версий операционных систем, установленных на контроллерах домена. В Таблице 1 показаны различные функциональные уровни доменов Windows 2003 и версии операционных систем, которые они поддерживают в контроллерах доменов. В Таблице 2 приведены функции групп AD, доступные для различных функциональных уровней доменов.
Диапазоны групп
При создании новой группы определяется ее диапазон - аналогично тому, как в ходе той же операции определяется тип группы. В средах Windows 2003 и Windows 2000 предусмотрено три диапазона групп: универсальный, глобальный и локальный диапазон домена. Кроме того, в системах Windows 2003 и Windows 2000 допускается использование двух вариантов диапазона локальной группы: доменный локальный диапазон и системный локальный диапазон. Группы с локальным диапазоном домена можно применять на любой системе домена. Группу с локальным диапазоном системы можно задействовать лишь на той системе, где эта группа определяется и хранится.
Диапазон группы определяет, каким образом можно использовать данную группу в многодоменной среде. В частности, диапазон группы определяет, может ли группа содержать пользователей и группы из другого домена. Кроме того, диапазон группы определяет, допустимо ли с помощью данной группы устанавливать разрешения на обращение к ресурсам другого домена.
В Таблице 3 показано, какие участники безопасности (т.е. пользователи, компьютеры или группы) могут быть членами универсальной группы, глобальной группы и локальной группы домена. Кроме того, здесь мы видим, в каких случаях участники безопасности должны быть расположены в том домене, где группа определяется (такие домены в Таблице 3 обозначены как SD), или их можно размещать в другом домене, входящем в состав того же леса (OD-INT), либо в другом внешнем домене (OD-EXT).
Теперь, когда вы знаете, какие участники безопасности могут быть членами той или иной группы, пора поставить вопрос о том, где можно использовать эти группы для установки разрешений на обращение к ресурсам. В Таблице 4 показано, какие группы обеспечивают возможность установки разрешений на обращение к ресурсам только своего домена, где соответствующая группа была определена, а какие позволяют еще устанавливать разрешения на обращение к ресурсам других доменов. Как видно из Таблицы 4, локальные группы доменов представляют собой единственный тип групп, который не дает возможности устанавливать разрешения на работу с ресурсами других доменов.
Диапазон групп также определяет, какие группы могут быть членами других групп; такие отношения между группами именуются вложением групп. Правила вложения групп определяются механизмом, который система Windows использует для выявления принадлежности группы пользователя к другим группам при регистрации пользователя в домене. В системах Windows 2003 и Windows 2000 применяются следующие правила вложения групп:
- Глобальная группа может быть членом другой глобальной группы, универсальной группы или локальной группы домена.
- Универсальная группа может быть членом другой универсальной группы или локальной группы домена, но не может быть членом глобальной группы.
- Локальная группа домена может быть членом только другой локальной группы домена.
Если домен относится к однородному уровню функционирования домена, диапазон группы можно изменить на странице свойств этой группы в оснастке Active Directory Users and Computers. Для одновременного изменения диапазона нескольких групп воспользуйтесь реализованной в системе Windows 2003 утилитой командной строки Dsmod с параметром -scope [l/g/u]. При изменении диапазона группы действуют следующие ограничения:
- Локальную группу домена можно преобразовать в универсальную группу лишь в том случае, если эта локальная группа домена не содержит других членов локальной группы домена. Локальная группа домена не может быть членом универсальной группы.
- Глобальную группу можно преобразовать в универсальную лишь в том случае, если эта глобальная группа не входит в состав другой глобальной группы. Универсальная группа не может быть членом глобальной группы.
- В многодоменной среде преобразование универсальной группы в глобальную допускается лишь тогда, когда все члены универсальной группы определены в домене этой универсальной группы. Глобальная группа может содержать лишь объекты, определенные в ее домене.
"Золотые правила"
Одна из главных проблем, с которой приходится сталкиваться администраторам Windows, состоит в том, что необходимо обеспечить максимальную эффективность управления доступом к ресурсам. Одно из "золотых правил" сводится к следующему: при назначении разрешений на обращение к ресурсам нужно оперировать не отдельными учетными записями, а целыми группами. Группы могут создавать уровень абстракции в модели авторизации, в результате чего снимается зависимость назначения разрешений от изменений на уровне учетных записей. Это правило применимо как к доменам Windows, так и к автономным системам.
Так, во многих организациях пользователи регулярно меняют одну организационную роль на другую. Как правило, каждая роль предполагает наличие конкретных разрешений на обращение к тем или иным ресурсам Windows. Служба AD предусматривает возможность создания групп для организационных ролей (скажем, операторы центров обработки вызовов, разработчики) и назначения разрешений на работу с ресурсами для этих групп. Если роль пользователя меняется, администратору достаточно включить учетную запись этого пользователя в состав соответствующей группы. Такой подход гораздо эффективнее, нежели простая переустановка разрешений учетной записи для того, чтобы обеспечить пользователю доступ к ресурсам, необходимым для выполнения новой роли.
Вот еще несколько "золотых правил", которым необходимо следовать при управлении доступом групп к ресурсам:
- Применяйте глобальные группы для объединения пользователей, используйте локальные группы доменов для назначения разрешений на доступ к ресурсам и затем объединяйте глобальные группы в локальные группы доменов для применения параметров разрешений. Хотя это правило из арсенала Windows NT 4.0, предназначенное для компенсации отсутствия в данной операционной системе механизма делегирования и для преодоления имеющихся ограничений на размер баз данных, оно все еще применяется в многодоменных лесах Windows 2003 и Windows 2000. В сетях с однодоменными лесами Windows 2003 и Windows 2000 вложенные структуры групп и выбор диапазонов групп не играют столь важной роли. В этих конфигурациях необходимо воздерживаться от назначения разрешений пользователям напрямую и действовать через группы-посредники.
Выбор тех или иных вложенных структур может также зависеть от двух факторов. Первый - кому принадлежат и какую важность имеют защищаемые данные. Когда разглашение данных особенно опасно, ответственный за их защиту администратор должен иметь полный контроль над тем, кому предоставляется доступ. Таким образом, лучшая политика в этом случае - вообще не использовать вложенные структуры. Вместо этого следует задействовать одну группу для управления членством и ту же группу - для предоставления разрешений на обращение к ресурсу. Однако такой подход не является оптимальным, когда многим пользователям требуется доступ к тому или иному ресурсу, и его владелец не хочет или не может контролировать членство каждого пользователя в соответствующей группе. В таких случаях имеет смысл организовать несколько групп и предоставить другим администраторам возможность управлять своими пользователями в соответствующих группах, после чего вложить эти группы в другую группу, через которую и будут предоставляться разрешения на доступ к ресурсу.
Второй фактор, способный повлиять на решение администратора относительно формирования вложенной структуры групп, - это возможность восстановления членства в группах AD после непреднамеренного удаления объектов AD. Труднее всего восстанавливается членство в локальных группах доменов, если члены этих групп размещаются в другом домене.
- В качестве общего правила я рекомендую применять в доменных сетях не системные локальные группы, а локальные группы доменов. При использовании системных локальных групп теряются преимущества доменов Windows, а именно, централизованное управление и возможности учета. Системными локальными группами нельзя управлять с помощью службы AD, и они не отображаются в списке групп, членом которых является учетная запись пользователя, в оснастке Active Directory Users and Computers. Кроме того, изменения, вносимые в сведения о членстве локальной системной группы, фиксируются не в журнале регистрации событий контроллера домена, а в журнале событий безопасности локальной машины.
Отметим одно важное исключение из этого правила; речь идет о крупных сетях AD, предполагающих наличие многочисленных локальных групп. В отличие от групп AD, локальные системные группы пользователей не предусматривают возможности расширения членства при регистрации в системе и не влияют на размер учетных данных Kerberos. Иначе говоря, в этой ситуации более целесообразно использовать не локальные группы доменов, а системные локальные группы.
- Для предоставления пользователям доступа к ресурсам, распределенным по нескольким доменам, следует использовать универсальные группы. Для этого помещайте глобальные группы в универсальные группы, универсальные группы - в локальные группы доменов и затем используйте локальные группы доменов для установления разрешений на обращение к ресурсам.
- Применяйте универсальные группы в тех случаях, когда членство в группе близко к статическому. Когда же членство в группе подвержено частым изменениям, используйте группу-посредника: добавляйте пользователей в глобальную группу, а затем введите эту глобальную группу в состав универсальной группы. Универсальные группы генерируют более значительные объемы сетевого трафика в многодоменных сетях, поскольку сведения о членстве в универсальных группах хранятся в глобальном каталоге, который реплицируется в масштабах леса.
Отметим, что данное правило применимо только к службам AD Windows 2003 и AD Windows 2000, которые не находятся на функциональном уровне леса Windows 2003. В лесу Windows 2003 служба AD поддерживает новую функцию, именуемую репликацией связанных значений (linked-value replication, LVR). При изменении членства в группе эта функция позволяет реплицировать на контроллеры доменов не полные списки членов группы, а лишь внесенные в них изменения. Кроме того, данное правило не действует в многодоменных сетях, в которые входят серверы Exchange; при работе с ними необходимо использовать универсальные группы рассылки. В этих случаях не следует применять глобальные группы-посредники, поскольку серверы Exchange не позволяют расширять членство в глобальных группах, если они определены в других доменах.
Итак, следуйте изложенным выше "золотым правилам". Кроме того, я рекомендую читателям придерживаться следующего принципа: старайтесь создавать как можно меньше групп и ограничивать число уровней их вложения. Ведь чем меньше будет групп и уровней вложения, тем проще система разрешений и тем легче находить причины неполадок в случае возникновения проблем.
Итак, мы рассмотрели основные характеристики групп AD и выяснили, как с их помощью организовать эффективное управление разрешениями на использование ресурсов. Без этих знаний не обойтись ни одному администратору AD.
Жан Де Клерк (jan.declercq@hp.com) - член Security Office корпорации Hewlett-Packard. В круг его интересов входят вопросы управления идентичностью и обеспечения безопасности при использовании продуктов Microsoft.
ЭВОЛЮЦИЯ ГРУПП В WINDOWS
Пользователи Windows всегда имели возможность работать с группами. Модель, реализованная в Windows NT 4.0 и в более ранних версиях системы, проще модели, применяемой в Windows Server 2003 и Windows 2000. Ниже перечисляются основные различия между двумя моделями групп:
- В Windows 2003 и в Windows 2000 предусмотрены два типа групп: группы безопасности и группы рассылки. В Windows NT 4.0 и в более ранних версиях были реализованы лишь группы безопасности.
- В системах Windows 2003 и Windows 2000 применяются три диапазона групп: универсальный, глобальный и локальный. Кроме того, в Windows 2003 и в Windows 2000 предусмотрены два варианта диапазона локальных групп: доменный локальный диапазон и системный локальный диапазон. В версии Windows NT 4.0 используются лишь глобальный диапазон и системный локальный диапазон групп. Введение универсального диапазона - прямое следствие использования реализованного в службе Active Directory (AD) глобального каталога, который является функцией контроллера домена, обеспечивающей доступность объектов AD и подмножества их атрибутов в домене для контроллеров других доменов в лесу Windows 2003 или Windows 2000.
- В версиях Windows 2003 и Windows 2000 возможно изменение типа и диапазона группы после ее создания. В Windows NT и более ранних версиях изменение типа и диапазона групп невозможно.
- В версиях Windows 2003 и Windows 2000 предусматривается вложение групп одного и того же диапазона и типа. В Windows NT 4.0 и более ранних версиях допускается только вложение глобальных групп в системные локальные группы.
Таблица 1: Функциональные уровни доменов
Функциональный уровень домена | Операционные системы, используемые на контроллерах доменов |
Windows 2003 | Windows 2003 |
Однородный тип Windows 2000 | Windows 2003 и Windows 2000 |
Windows 2003 interim | Windows 2003 и NT 4.0 |
Смешанный тип Windows 2000 | Windows 2003, Windows 2000 и Windows NT 4.0 |
Таблица 2: Функциональный уровень домена и функциональные возможности групп
Функциональный уровень домена Windows 2003 или однородный уровень Windows 2000 | Смешанный функциональный уровень домена Windows 2000 или функциональный уровень домена Windows 2003 Interim | |
Типы групп | Группы безопасности и группы рассылки | Группы безопасности и группы рассылки |
Диапазоны групп | Универсальный, глобальный и локальный диапазоны домена | Глобальный и локальный диапазоны домена |
Совместное использование групп | Все компьютеры домена совместно используют локальные группы домена | Контроллеры домена совместно используют локальные группы домена |
Вложение групп | Универсальная группа может быть членом другой универсальной группы или локальной группы домена Локальная группа домена может быть членом другой локальной группы домена Только глобальные группы могут вкладываться в локальные группы доменов |
Глобальная группа может быть членом другой глобальной группы, универсальной группы или локальной группы домена Вложение других групп не допускается |
Модификация групп | Диапазон и тип групп могут быть изменены | Диапазон и тип групп не могут быть изменены |
Таблица 3: Ограничения на членство в группах
Могут содержать пользователей и компьютеры в SD* OD- OD- INT** EXT*** | Могут содержать доменные локальные группы в SD OD- OD- INT EXT | Могут содержать глобальные группы вSD OD- OD- INT EXT | |
Универсальных группах | Да Да Нет | Нет Нет Нет | Да Да Нет |
Глобальных группах | Да Нет Нет | Нет Нет Нет | Да**** Нет Нет |
Доменных локальных группах | Да Да Да | Да**** Нет Нет | Да Да Да |
*того же домена
** других доменов в том же лесу
***других внешних доменов или доменов в других лесах
****только на функциональном уровне доменов Windows 2003 или доменов Windows 2000 однородного типа
Таблица 4: Ограничения на использование групп
Позволяют устанавливать разрешения на обращение к ресурсу в том же домене | Позволяют устанавливать разрешения на обращение к ресурсу в другом домене | |
Универсальные группы | Да | Да |
Глобальные группы | Да | Да |
Доменные локальные группы | Да | Нет |